Fake GitHub stars are being used to spread malware.

GitHubでソフトウェアプロジェクトをチェックアウトするとき、多くのスターが品質の指標であるとは仮定しないでください。カーネルマン大学、ソケット、北卡ロライナ州立大学の研究者によって行われた新しい研究により、偽のスターが悪意のあるGitHubリポジトリを増幅するために使用されていることが明らかになりました。 GitHubは、Windows Terminalから7-Zipまでの様々なソフトウェアプロジェクトとダウンロードをホストする人気のあるサイトの一つです。人々は「スター」を付けることができます。これはソーシャルメディアプラットフォームでの「いいね」と似ています。多くのスターを持つプロジェクトは、GitHubのホームページや他の場所で時折表示されることがあります。 悪意のあるユーザーが偽のプロジェクトに数千のスターを追加してマルウェアを押し付けようとしていたという報告はありますが、新しい研究論文はこの問題についてより深い理解を提供しています。論文は、偽のGitHubスターは「ボット、集団で集められた人間、ユーザーが報酬を受け取るためにスターを交換するプラットフォーム」などの方法から取得されるという点に詳しく説明しています。これらのスターは「成長ハッキング」のために購入され、「VC資金の引き付け」やマルウェアを推進するためにも使用されます。論文は、「偽のスターを持つリポジトリはGitHubの人気競争で不公平な優位性を得、その後ソフトウェア供給チェーンの関係者を被害にするさまざまな方法で利用される可能性がある」と説明しています。 研究者たちは「StarScout」というツールを作成しました。このツールは過去5年のデータベースダンプを使用して、リポジトリとGitHubアカウントをスキャンし、疑似の偽スターを探します。StarScoutからの出力によると、偽スター攻撃が増加していると考えられ、スキャンされたすべてのリポジトリで約450万件の偽スターが見つかりました。一部の偽スター付いたプロジェクトは「盗用ソフトウェア、ゲームハッキング工具、暗号通貨ボット」などと見えたものの、コード中にマルウェアが隠されていました。 2022年以来、偽スター活動の量が増加し、2024年で激増しました（y軸は対数変換されています）。2022年以前の月々では、最大でも10リポジトリに偽スターキャンペーンがありました。しかし、2022年と2023年には10個以上のリポジトリが増加し、2024年には数千ものリポジトリまで増加しました。これらの活動は2024年7月で最も高まり、当社のデータセットでは3,216リポジトリに偽スターキャンペーンがあり、参加ユーザー数は30,779人となりました。 これは主にソフトウェア開発者にとって関心深いですが、GitHubプロジェクトでスターを使用して品質、安全性、人気を指標としている場合でも影響を受けます。見ているアプリやプロジェクトが正規なものかどうか不安な場合は、問題ページを確認してください（研究者はユーザーが問題として投稿した悪意のあるリポジトリを見つけました）そして、ウィキペディアなどの信頼できるサイトでプロジェクトへのリンクを探します。